VPN - Konfigurace Site-to-site IPSec VPN s Microsoft (MS) Azure

Máte další otázky? Odeslat požadavek

Tento článek ukazuje, jak vytvořit site-to-site VPN mezi firewallem USG a Microsoft Azure Virtual Gateway. Příklad popisuje, jak nakonfigurovat VPN tunel mezi jednotlivými lokalitami.

 

Poznámka! Tento článek funguje pouze s jedním VPN místem. Pokud potřebujete připojit více míst, prosím prostudujte následující článek: USG/Zywall Series - Jak nakonfigurovat route-based IPsec VPN do Azure (BGP přes IKEv2/IPSec)
Pro Nebula: IPSec Site-to-Site VPN z Nebula Security Gateway (NSG) do Azure

 

1) Konfigurace IPSec VPN tunelu na ZyWALL/USG

1.1 Spuštění průvodce a výběr rozšířené VPN politiky

V ZyWALL/USG přejděte do CONFIGURATION > Quick Setup > VPN Setup Wizard, použijte průvodce VPN Settings k vytvoření VPN pravidla, které lze použít s MS Azure. Klikněte na Next.

Quick Setup > VPN Setup Wizard > Welcome

Zvolte Advanced pro vytvoření VPN pravidla s přizpůsobenými nastaveními fáze 1, fáze 2 a autentizační metodou. Klikněte na Next.

Quick Setup > VPN Setup Wizard > Welcome > Wizard Type

1.2 Konfigurace rozšířených VPN nastavení

1.2.1 Nastavení názvu pravidla a scénáře

Zadejte Rule Name, který slouží k identifikaci tohoto VPN připojení (a VPN gateway). Můžete použít 1-31 alfanumerických znaků. Hodnota rozlišuje velká a malá písmena. Vyberte pravidlo jako Site-to-site. Klikněte na Next.

Quick Setup > VPN Setup Wizard > Wizard Type > VPN Settings (Scenario)

1.2.2 Nastavení fáze 1

Dále nakonfigurujte IP adresu Secure Gateway jako IP adresu peer MS Azure Gateway (v příkladu 13.75.42.148); vyberte My Address jako rozhraní připojené k internetu.

Nastavte Negotiation, Encryption, Authentication, Key Group a SA Life Time, které MS Azure podporuje. Ujistěte se, že jste zakázali Dead Peer Detection (DPD), které není podporováno v MS Azure IKEv1 Policy-based. Zadejte bezpečný Pre-Shared Key.

Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings (Phase 1 Setting)

1.2.3 Nastavení fáze 2

Pokračujte k nastavení fáze 2, kde vyberete Encapsulation, Encryption, Authentication a SA Life Time, které MS Azure podporuje.

Nastavte Local Policy na rozsah IP adres sítě připojené k ZyWALL/USG a Remote Policy na rozsah IP adres sítě připojené k MS Azure. Klikněte na OK.

Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings (Phase 2 Setting)

Poznámka: Pro více informací o IPsec parametrech podporovaných v MS Azure, viz dokumentace Microsoft Azure O VPN zařízeních pro Site-to-Site VPN Gateway připojení.

1.2.4 Kontrola a uložení konfigurace

Tato obrazovka poskytuje pouze k přečtení shrnutí VPN tunelu. Klikněte na Save.

Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings (Summary)

Nyní je pravidlo nakonfigurováno na ZyWALL/USG. Nastavení fáze 1 se zobrazí v obrazovce VPN > IPSec VPN > VPN Gateway a nastavení fáze 2 v obrazovce VPN > IPSec VPN > VPN Connection. Klikněte na Close pro ukončení průvodce.

Quick Setup > VPN Setup Wizard > Welcome > Wizard Type > VPN Settings > Wizard Completed

2) Konfigurace IPSec VPN tunelu na MS Azure

2.1 Přihlášení do Azure Management Portálu

Přihlaste se do Windows Azure Management Portal. V levém horním rohu obrazovky klikněte na +New > Networking > Virtual Network.

Azure portal > New > Networking > Virtual Network

2.2 Výběr modelu nasazení v konfiguraci virtuální sítě

Blízko spodní části panelu Virtual Network vyberte ze seznamu Select a deployment model možnost Resource Manager a poté klikněte na Create.

New > Networking > Virtual Network > Select a deployment model

2.3 Konfigurace VPN nastavení v Azure

Na stránce Create virtual network zadejte NAME pro VPN síť, například VPN_Vnet_to_USG. Přidejte Address Space, Subnet name a jeden Subnet address range.

Klikněte na Resource group a vyberte existující zdrojovou skupinu nebo vytvořte novou zadáním názvu, například RG_USG.

LOCATION přímo souvisí s fyzickou polohou (regionem), kde se virtuální stroje (VM) nacházejí. Region spojený s virtuální sítí nelze po vytvoření změnit.

Poté klikněte na tlačítko Create. Po kliknutí na Create se na vašem dashboardu zobrazí dlaždice zobrazující průběh vytváření VNet. Dlaždice se bude měnit během vytváření VNet.

New > Networking > Virtual Network >  Create virtual network

2.4 Konfigurace podsítě virtuální sítě v Azure

V portálu přejděte do virtuální sítě, kterou jste právě vytvořili. Na panelu vaší virtuální sítě klikněte na ikonu Settings v horní části panelu pro rozbalení nastavení na Subnets > Add > Add Subnet. Pojmenujte svou podsíť GatewaySubnet. Neměla by mít jiný název, jinak brána nebude fungovat. Přidejte IP Address range pro vaši bránu. Klikněte na OK ve spodní části panelu pro vytvoření podsítě.

VPN_Vnet_to_USG > Settings > Subnet > Add subnet

2.5 Konfigurace virtuální brány sítě v Azure

V portálu přejděte na New, poté Networking. Ze seznamu vyberte Virtual network gateway. Na panelu Create virtual network gateway do pole Name zadejte název brány. Dále vyberte Virtual network, do které chcete tuto bránu nasadit.

Klikněte na šipku (>) pro otevření panelu Choose public IP address. Poté klikněte na Create New pro otevření panelu Create public IP address. Zadejte Name pro vaši veřejnou IP adresu. Upozorňujeme, že se nejedná o zadání IP adresy. IP adresa bude přidělena dynamicky. Toto je pouze název objektu IP adresy, ke kterému bude adresa přiřazena. Klikněte na OK pro uložení změn.

Pro Gateway type vyberte VPN. Pro VPN type vyberte Policy-based. Pro Resource Group je zdrojová skupina určena podle vybrané virtuální sítě. Pro Location se ujistěte, že zobrazuje lokaci, kde jsou umístěny vaše Resource Group a VNet.

New > Networking > Create virtual network gateway > Choose public IP address > Create public IP address

2.6 Konfigurace lokální brány sítě v Azure

V Azure Portálu přejděte na New > Networking > Local network gateway. Lokální brána sítě odkazuje na veřejnou IP adresu a nastavení lokální podsítě vašeho ZyWALL/USG.

Na panelu Create local network gateway zadejte název pro objekt brány ZyWALL/USG.

Zadejte veřejnou IP adresu vašeho ZyWALL/USG. Nemůže být za NAT a musí být dostupná z Azure. Address space odkazuje na rozsahy adres ve vaší lokální síti ZyWALL/USG. Pro Resource Group vyberte dříve vytvořenou zdrojovou skupinu. Pro Location, pokud vytváříte novou lokální bránu sítě, můžete použít stejnou lokaci jako virtuální brána sítě, ale není to povinné. Lokální brána sítě může být v jiné lokaci.

Klikněte na Create pro vytvoření lokální brány sítě.

New > Networking > Local network gateway  

2.7 Přidání připojení

Vyhledejte vaši virtuální bránu sítě (v tomto příkladu VPN_Connection_to_USG) a klikněte na Settings > Connection > Add connection, Pojmenujte své připojení. Pro Connection type vyberte Site-to-site (IPSec). Pro Virtual network gateway je hodnota pevná, protože připojujete z této brány (VPN_GW_to_USG v příkladu).

Pro Local network gateway vyberte lokální bránu sítě, kterou chcete použít (VPN_Connection_to_USG v příkladu).

Pro Shared Key (PSK) musí být hodnota shodná s tou, kterou používáte na zařízení ZyWALL/USG. Pro Resource Group vyberte zdrojovou skupinu, kterou jste předtím vytvořili. Klikněte na OK pro vytvoření připojení.

VPN_Connection_to_USG > Settings > Connections > Add connection

2.8 Kontrola nastavení připojení

Když je připojení dokončeno, zobrazí se v panelu Connections vaší brány.

VPN_Connection_to_USG > Settings > Connections

3) Testování konektivity IPSec VPN tunelu

Přejděte v ZyWALL/USG do CONFIGURATION > VPN > IPSec VPN > VPN Connection, klikněte na Connect v horní liště. Ikona Status připojení se rozsvítí, když je rozhraní připojeno.

CONFIGURATION > VPN > IPSec VPN > VPN Connection

Přejděte v ZyWALL/USG do MONITOR > VPN Monitor > IPSec a ověřte Up Time tunelu a Inbound(Bytes)/Outbound(Bytes) provoz.

MONITOR > VPN Monitor > IPSec

Přejděte do Azure_Vnet_USG > Settings pro kontrolu tunelových dat DATA IN a DATA OUT.

VPN > VPN Settings > Currently Active VPN Tunnels

Pro otestování funkčnosti tunelu proveďte ping z počítače v jedné lokalitě na počítač v druhé lokalitě. Ujistěte se, že oba počítače mají přístup k internetu.

PC za ZyWALL/USG > Windows 7 > cmd > ping 10.1.0.33

PC za MS Azure > Windows 7 > cmd > ping 192.77.1.33

Články v tomto oddílu

Byl pro vás tento článek užitečný?
Počet uživatelů, kteří toto označili za užitečné: 0 z 0
Sdílet

Komentáře

0 komentářů

Prosím přihlaste se, abyste mohli napsat komentář.